部署雲端治理基礎
部署雲端治理基礎可提升您治理整個 Azure 環境的能力。 本單元概述部署基礎來達成資源一致性,以及為您在其他治理專業領域做好準備時,所需進行的考量和實作。
您將設定哪些項目?
本單元假設您已將資產部署至 Azure。 您現在想要設定環境,以更好地整理、追蹤並治理這些資產。 完成本單元之後,您會了解設定管理群組、訂用帳戶設計、資源群組和標記的「原因」和「做法」。
策略考量
資源組織取決於對組織而言很重要的是什麼。 在定義管理群組或訂用帳戶設計前,請務必了解這些會造成優先順序拉鋸的項目:
- 成本透明度:所有雲端採用都應該與部門、業務單位、專案或其他成本配置機制保持一致,以符合帳單/記錄 (chargeback/showback) 的會計需求。
- 合規性與安全性:每個雲端採用都必須與特定的合規性需求相互對應,將雲端採用對應至特定風險、安全性以及合規性組織結構。
- 民主化 (委派責任):每個雲端採用都必須與小組、產品組合或專案相互對應,讓小組能夠更輕鬆地劃分責任。
了解這些策略優先順序,有助於找出管理與訂用帳戶設計的最佳起點。
Azure 中的資源組織
所有治理的基礎為一致的資源組織。
圖1:資源一致性。
資源組織的三項重點要素如下:
- 管理群組,其會反映安全性、營運與業務或會計階層。
- 訂用帳戶,其會將類似的資源分組為邏輯界限。
- 資源群組,其可進一步將應用程式或工作負載分組到部署與營運單位。
治理設計考量
為了因應長期治理需求,請設計一個具有高層級的階層,但僅實作您所需要的層級。 視需求將新節點新增至階層。
圖 2:管理群組階層。
下列元件在圖 2 所示的管理群組階層中以遞減層級排列:
- 管理群組:業務單位、地理位置和環境
- 訂用帳戶:每個應用程式類別、生產前階段、開發環境以及生產
- 資源群組:每個應用程式
練習:設定第一個管理群組階層
從較小的階層開始,使得您可以實驗並快速克服初始的學習曲線。
圖 3:較小的初始管理群組階層。
在此較小的版本中,嘗試下列設定步驟:
- 父節點:為公司 IT 定義管理群組。
- 子節點:定義每個實際執行環境與非實際執行環境的子節點。
如需建立這些管理群組的指導,請參閱快速入門指南:在 Azure 入口網站中建立管理群組。
訂用帳戶設計
訂用帳戶是所有已部署資產的邏輯容器。 訂用帳戶可用來根據計費、合規性、安全性或存取需求將一般工作負載分組在一起。 為了充分發揮治理的效益,您應該盡可能使用最少量的訂用帳戶。
圖 4:生產和非生產訂用帳戶。
使用訂用帳戶調整規模
使用多個訂用帳戶調整規模具有幾項技術性與非技術性的原因。 如需了解規模調整的常見原因,請參閱基本概念文章。
下列問題可能有助於說明調整訂用帳戶規模的原因:
- 是否有容量或技術方面的限制?
- 是否需要明確區分疑慮? 例如:
- 職責區分
- 開發/測試環境與一般非生產環境
- 不同的客戶
- 不同部門或業務單位
- 不同的專案
- 您是否能夠將此共用基礎結構的成本分散給應用程式擁有者? (通常會將專用訂用帳戶用於共用基礎結構,例如 Microsoft Entra ID、監視或修補工具。)
- 您是否需要透過共用的服務訂用帳戶,以為營運管理、安全性、身分識別同步作業、連線能力或 DevOps 小組建立更明確的責任劃分?
練習:將訂用帳戶新增至管理群組
在每個環境節點中新增現有的訂用帳戶,以為實際執行環境、開發環境以及 QA 資源明確分工。
圖 5:新增訂用帳戶至管理群組。
如需將訂用帳戶新增至管理群組的指導,請參閱操作指南。
標記
管理群組會反映出最優先的組織結構。 標記會反映也會在中繼資料中反映的各種組織準則。 以下是所有工作負載的建議標記:
練習:指派標記原則
您可以將 Azure 原則套用至管理群組中的所有訂用帳戶。 若要了解治理基礎中的原則角色,請將原則套用至階層中的其中一個管理群組。
圖 6:在 Azure 入口網站中指派原則。
如需套用原則的指導,請參閱建立與管理原則教學課程
- 指派原則指示的步驟 4 會探討範圍。 在此步驟中,您會選取管理群組,以確保原則會套用至管理群組中的所有訂用帳戶。
- 步驟 6 和 7 會討論原則定義。 在 [內建] 原則的清單中,建議選取其中一個與標記相關的原則。 具體而言,需要在所有資源加上標記的原則將有助於建立治理基礎。
重要
教學課程中的步驟 9 說明原則強制執行。 在了解治理的同時,請務必將 [原則強制執行] 設定為 [已停用]。 停用此設定時,您可以在不進行任何變更的情況下稽核您的環境,而且不會防止未來的部署。
部署加速
將所有治理變更封裝到藍圖中,可加速部署並建立一致的治理應用程式。 當我們在下一個練習中指派藍圖時,系統會將治理一致地套用至已指派管理群組中的所有訂用帳戶。 其也會套用至這些訂用帳戶中的所有資源群組和資產。
練習:指派 CAF Foundation 藍圖
使用 Azure 藍圖將 Azure Resource Manager 範本、Azure 原則以及角色型存取控制設定封裝為單一套件。 適用於 Azure 的雲端採用架構 (CAF) Foundation 藍圖可提供範例與起點,讓您在雲端治理中使用藍圖來執行下列動作:
- 部署 Azure Key Vault
- 將 Log Analytics 部署在 Azure 監視器記錄中
- 部署適用於雲端的 Microsoft Defender (標準版)
CAF Foundation 藍圖也會定義並部署原則,以便:
- 將
cost center
標籤套用至資源群組 - 為資源群組中的資源附加
cost center
標記 - 允許 Azure 區域使用資源與資源群組
- 允許儲存體帳戶 SKU (部署時選擇)
- 允許 Azure 虛擬機器 SKU (部署時選擇)
- 需要部署 Azure 網路監看員
- 要求 Azure 儲存體帳戶使用安全傳輸加密
- 拒絕資源類型 (部署時選擇)
- 建立在適用於雲端的 Microsoft Defender 中啟用監視的計畫 (89 個原則)
遵循指定步驟,以發佈與指派此範例藍圖至管理群組。
練習:評估目前的環境
客戶通常會嘗試在多個訂用帳戶之間,將治理加入現成且完善的採用成果。 在讓組合中治理做法更加完善的同時,Azure 治理視覺化檢視可為目前的治理設定提供深入解析。
圖 7:Azure 治理視覺化檢視。
部署 Azure 治理視覺化檢視,以查看如何在環境中套用管理群組、藍圖、原則以及其他治理設定。
這些練習有助於示範治理的起點或基礎。 在下個單元中,我們將在這個基礎上建立完善的成本管理專業領域。